1.什么是SPN

服務(wù)主體名稱 (SPN) 是服務(wù)實例的唯一標識符。 Kerberos 身份驗證使用 SPN 將服務(wù)實例與服務(wù)登錄帳戶相關(guān)聯(lián)。 這允許客戶端應(yīng)用程序請求服務(wù)對帳戶進行身份驗證，即使客戶端沒有帳戶名稱。

如果在計算機的整個目錄林上安裝多個服務(wù)實例，那么每個實例都必須有自己的 SPN。 如果客戶端有多個名稱可用于身份驗證，則給定的服務(wù)實例可以有多個 SPN。 例如，SPN 始終包含運行服務(wù)實例的主機的名稱，因此服務(wù)實例可能會為其主機的每個名稱或別名注冊 SPN。

在 Kerberos 身份驗證服務(wù)可以使用 SPN 對服務(wù)進行身份驗證之前，必須在服務(wù)實例用來登錄的帳戶對象上注冊 SPN。 只能在一個帳戶上注冊給定的 SPN。 對于 Win32 服務(wù)，服務(wù)安裝程序在安裝服務(wù)實例時指定登錄帳戶。 然后，安裝程序編寫 SPN 并將其作為帳戶對象的屬性寫入Active Directory 域服務(wù)。 如果服務(wù)實例的登錄帳戶發(fā)生更改，則必須在新帳戶下重新注冊 SPN。

以上是微軟官方解釋

其實說白了就利用Kerberos身份驗證去訪問某項服務(wù)的一個前提。

2.提出問題

2.1有多少呢？

微軟為我們進行了一項整理：

https://adsecurity.org/?page_id=183

2.2非得都注冊？

其實不用，我們在之前進行RBCD爛番茄利用時，拿著從s4u2self那里獲取到的ST作為驗證信息再去請求一張用于訪問sr機器CIFS spn的ST票據(jù)，就直接獲取到目標文件列表

2.3為什么會這樣？

其實是HostSPN的原因，這里微軟是偷懶的

https://adsecurity.org/?page_id=183
Domain Controllers automatically map common SPNs to the “HOST” SPN. The HOST SPN is automatically added to the ServicePrincipalName attribute for all computer accounts when the computer is joined to the domain.

HOST這個ServiceName實際上是很多個ServiceName的映射，相關(guān)屬性被稱作SPNMappings，當(dāng)個訪問集合中的成員時，會被映射到HOST。

3.HostSPN

為什么我們上面可以直接能獲取到CIFS spn的ST票據(jù)？

因為host其中包含很多我們常用到的service，比如cifs，ldap等。

當(dāng)我們擁有這個映射列表中的任意一張服務(wù)票據(jù)(包括HOST)的時候, 我們就可以將其轉(zhuǎn)成列表中其他的任意一張服務(wù)票據(jù)。

Host票據(jù)實際上是一種萬能票據(jù)，具體有哪些映射呢？

host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,
oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,
plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,
seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,
iisadmin,msdtc

不管是impacket還是Rubeus，其實都已經(jīng)兼容都已經(jīng)兼容, 但是并沒有具體文章說明

image-20220927141522238.png

4.利用

這里提供一個后門思路

在拿下域控后，我們利用委派，將test/DC委派給某個后門用戶, 之后我們就可以隨意獲取到test/DC的TGS, 并可以將其轉(zhuǎn)變成CIFS/LDAP等服務(wù)的票據(jù)。